鴻蒙程式碼配置混淆

HarmonyOS技術社群發表於2021-05-06

一、前言

Java程式碼會被編譯成位元組碼，位元組碼非常容易被反編譯，一旦位元組碼被反編譯，原始碼也就洩露了。為了很好的保護原始碼，需要對編譯好後的位元組碼檔案進行混淆。程式碼經過混淆後，包體積會變小，並且原始碼都被處理過，進一步保障了應用的安全。本文將首先介紹混淆原理以及混淆命令，然後教大家如何在鴻蒙專案裡面配置混淆。

二、ProGuard

ProGuard就是用來混淆程式碼的，主要有以下4個功能。
混淆過程

壓縮(Shrink)：檢測並移除程式碼中無用的類、欄位、方法和特性。可以使用下面的指令關閉壓縮

# 關閉壓縮
-dontshrink

優化(Optimize)：對位元組碼進行優化，移除無用的指令。可以使用下面的指令關閉優化

# 關閉優化
-dontoptimize
-optimizationpasses n 表示proguard對程式碼進行迭代優化的次數

混淆(Obfuscate)：使用a，b，c，d這樣簡短而無意義的名稱，對類、欄位和方法進行重新命名。可以使用下面的指令關閉混淆

# 關閉混淆
-dontobfuscate

預檢(Preveirfy)：在Java平臺上對處理後的程式碼進行預檢，確保載入的位元組碼檔案是可執行的。
總之，Proguard是一個Java類檔案壓縮器、優化器、混淆器、預校驗器。壓縮環節會檢測以及移除沒有用到的類、欄位、方法以及屬性。優化環節會分析以及優化方法的位元組碼。混淆環節會用無意義的短變數去重新命名類、變數、方法。這些步驟讓程式碼更精簡，更高效，也更難被逆向（破解）。
那麼有一個問題，ProGuard怎麼知道這個程式碼沒有被用到呢？這裡引入一個Entry Point（入口點）概念，Entry Point表示在混淆過程中不會被處理的類或方法。在壓縮的步驟中，ProGuard會從上述的Entry Point開始遞迴遍歷，搜尋哪些類和類的成員在使用，對於沒有被使用的類和類的成員，就會在壓縮段丟棄，在接下來的優化過程中，那些非Entry Point的類、方法都會被設定為private、static或final，不使用的引數會被移除，此外，有些方法會被標記為內聯的，在混淆的步驟中，ProGuard會對非Entry Point的類和方法進行重新命名。
一般來說，開啟混淆後，程式碼越亂越無規律越好，但有些程式碼是不能被混淆的，否則程式執行就會出錯，所以就需要我們熟悉混淆指令，當開啟混淆的時候，使用混淆指令告訴編譯器某些程式碼不能被混淆。

三、混淆指令

命令	含義
-keep	防止類和成員被移除或者被重新命名
-keepnames	防止類和成員被重新命名
-keepclassmembers	防止成員被移除或者被重新命名
-keepclasseswithmembernames	防止擁有該成員的類和成員被重新命名
-keepclasseswithmembers	防止擁有該成員的類和成員被移除或者被重新命名

3、1 先看如下如下的命令，一個星號表示只是保持該包下的類名，而子包下的類名還是會被混淆。

-keep class com.poetry.jianjia.bean.*

3、2 兩個星號表示把本包和所含子包下的類名都保持。

-keep class com.poetry.jianjia.bean.**

3、3 用以上方法保持類後，雖然類名未混淆，但類裡面的方法和變數命名還是會變，如果既想保持類名，又想保持裡面的內容不被混淆，就需要加上{*;}

-keep class com.poetry.jianjia.bean.**{*;}

3、4 在此基礎上，還可以使用extends、implements等關鍵字來保護特定類不被混淆，如下例子表示實現Serializable介面的類名不被混淆

-keep class * implements java.io.Serializable

3、5 如果想保留內部類不被混淆則需要用$符號，如下例子MainAbilitySlice內部類InnerClass中的所有public內容不被混淆。

-keepclassmembers class com.poetry.jianjia.slice.MainAbilitySlice$InnerClass{
   public *;
}

3、6 如果只是希望類裡面的特定內容不被混淆，就可以使用

<init>;     //匹配所有構造方法
<fields>;   //匹配所有變數
<methods>;  //匹配所有方法

3、7 可以在<fields>或<methods>前面加上private 、public、native等來進一步指定不被混淆的內容，如下例子，Banner類中所有的共有方法不被混淆。

-keep class com.poetry.jianjia.Banner {
    public <methods>;
}

3、8 類中可以有過載方法，如果希望某個過載方法不被混淆，可以加上方法引數，如下例子，帶有一個字串引數的構造方法不被混淆

-keep class com.poetry.jianjia.Banner {
    public <init>(java.lang.String);
}

3、9 有時類名可以被混淆，但是希望該類下的特定方法不被混淆，那就不能用keep了，keep不會混淆類名，而需要用keepclassmembers。如下例子，實現了Serializable介面的類名可以被混淆，但類中的具體變數和方法不被混淆

-keepclassmembers class * implements java.io.Serializable {
    static final long serialVersionUID;
    private static final java.io.ObjectStreamField[] serialPersistentFields;
    private void writeObject(java.io.ObjectOutputStream);
    private void readObject(java.io.ObjectInputStream);
    java.lang.Object writeReplace();
    java.lang.Object readResolve();
}

3、10 有些類或者類成員是不能被重新命名的，keepclasseswithmembernames會防止類和成員被重新命名。如下例項，本地方法不能被重新命名。

-keepclasseswithmembernames class * {    
    native <methods>;
}

3、11 保持列舉不被混淆

-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

3、12 反射用到的類不能被混淆。
3、13 配置檔案中的類不能被混淆，配置檔案中宣告的Ability預設不會被混淆，在配置檔案中宣告的類不需要額外的配置混淆。
3、14 使用gson、fastjson等框架解析服務端資料時，所寫的json物件類不能混淆，否則無法將json解析成對應的物件。
3、15 第三方開源庫會大量的使用註解、反射、泛型，使用第三方開源庫或者引用其他第三方的SDK包時，如果有特別要求，也需要在混淆檔案中加入對應的混淆規則。

四、給鴻蒙專案配置混淆

4、1 我們已經熟悉了混淆指令，那如何給鴻蒙專案配置混淆呢？在最新版的編譯器裡面建立專案，編譯器會幫我們建立一個proguard-rules.pro檔案，proguard-rules.pro檔案是什麼呢？鴻蒙使用proguard進行混淆，proguard-rules.pro檔案就是用來配置混淆規則的，將不能被混淆的程式碼配置在proguard-rules.pro檔案中。請注意，老版本的編譯器不支援混淆，使用老版本的編譯器建立專案，編譯器不會建立proguard-rules.pro檔案。
配置混淆規則的檔案.png
4、2 編譯器除了幫我們建立proguard-rules.pro檔案外，還在build.gradle檔案中新增了新程式碼，開啟build.gradle檔案
混淆配置.png
編譯器在buildTypes閉包裡面新增release閉包，release表示正式包。release閉包下面又有一個proguardOpt閉包，proguardOpt就是用來配置混淆的。proguardEnabled表示是否開啟混淆，true表示開始混淆，false表示不開啟混淆。rulesFiles則表示配置混淆的規則檔案。
可以看出，預設情況下，是不開啟混淆的，出於保護原始碼的原因，當我們打正式包的時候，是需要開啟混淆的。其實，我們也可以給測試包配置混淆，如下程式碼。我們手動新增了一個debug閉包，debug表示測試包，不要在測試包裡面開啟混淆，當你在測試包開啟混淆，斷點除錯的時候將看不到變數的值。

buildTypes {
        // release表示正式包
        release {
            // 配置混淆
            proguardOpt {
                // 正式包開啟混淆
                proguardEnabled true
                // 混淆規則配置在proguard-rules.pro檔案中
                rulesFiles 'proguard-rules.pro'
            }
        }
        // debug表示測試包
        debug {
            // 配置混淆
            proguardOpt {
                // 測試包不開啟混淆
                proguardEnabled false
                // 混淆規則配置在proguard-rules.pro檔案中
                rulesFiles 'proguard-rules.pro'
            }
        }
    }

4、3 如果使用最新版編譯器開啟老版本編譯器建立的專案，那麼專案中不會有proguard-rules.pro檔案，同時build.gradle檔案中也不會有proguardOpt。這時就需要我們自己手動建立proguard-rules.pro檔案，並且在build.gradle檔案新增上述程式碼。
4、4 綜上，如何給鴻蒙專案配置混淆？只需兩步，第一，將proguardEnabled 設定為true，第二，在proguard-rules.pro檔案中使用混淆指令配置混淆規則。

五、給出一個常見的混淆配置

# 程式碼混淆壓縮比，在0~7之間
-optimizationpasses 5
# 混合時不使用大小寫混合，混合後的類名為小寫
-dontusemixedcaseclassnames
# 指定不去忽略非公共庫的類
-dontskipnonpubliclibraryclasses
# 不做預校驗，preverify是proguard的四個步驟之一，去掉這一步能夠加快混淆速度。
-dontpreverify
-verbose
# 避免混淆泛型
-keepattributes Signature
#google推薦演算法
-optimizations !code/simplification/arithmetic,!code/simplification/cast,!field/*,!class/merging/*
# 保留註解、內部類、泛型、匿名類
-keepattributes *Annotation*,InnerClasses,Signature,EnclosingMethod
# 重新命名丟擲異常時的檔名稱
-renamesourcefileattribute SourceFile
# 丟擲異常時保留程式碼行號
-keepattributes SourceFile,LineNumberTable
-dontwarn javax.annotation.**

# 保留本地native方法不被混淆
-keepclasseswithmembernames class * {
    native <methods>;
}

# 保留列舉類不被混淆
-keepclassmembers enum * {
    public static **[] values();
    public static ** valueOf(java.lang.String);
}

-keepclassmembers class * implements java.io.Serializable {
   static final long serialVersionUID;
   private static final java.io.ObjectStreamField[]   serialPersistentFields;
   private void writeObject(java.io.ObjectOutputStream);
   private void readObject(java.io.ObjectInputStream);
   java.lang.Object writeReplace();
   java.lang.Object readResolve();
}

# OkHttp3
-dontwarn okhttp3.logging.**
-keep class okhttp3.internal.**{*;}
-dontwarn okio.**

# gson
-keep class sun.misc.Unsafe { *; }
-keep class com.google.gson.stream.** { *; }
# 在我的示例程式碼中，com.poetry.jianjia.bean這個包下面的類實現了Serialized介面，
# 實現了Serialized介面的類不能被混淆，請把com.poetry.jianjia.bean這個包名替換成你自己的包名
-keep class com.poetry.jianjia.bean.**{*;}

六、總結

本文主要介紹混淆原理以及混淆命令，並且教大家如何在鴻蒙專案裡面配置混淆，大家最好熟悉下混淆指令。在實際開發中，經常性的會遇到這種問題，在測試包裡面沒有問題，但在正式包裡面就出現了問題，這種情況往往是因為在正式包開啟了混淆，但沒有在proguard-rules.pro檔案中配置混淆規則。

作者：裴雲飛1
想了解更多內容，請訪問51CTO和華為合作共建的鴻蒙社群：https://harmonyos.51cto.com

Flutter 程式碼混淆混淆Dart程式碼
2021-08-19
FlutterDart
【程式碼混淆】react-native 程式碼混淆
2023-12-26
React
Android程式碼混淆配置（Proguard檔案解析）
2016-05-19
Android
Android 配置 Ant 指令碼之程式碼混淆和優化
2014-03-14
Android指令碼優化
ios加固，ios程式碼混淆，ios程式碼混淆工具， iOS原始碼混淆使用說明詳解
2020-06-11
iOS原始碼
Android程式碼混淆&元件化混淆方案
2020-11-20
Android元件化
Android程式碼混淆
2013-11-15
Android
iOS安全/程式碼混淆
2017-12-20
iOS
vue專案配置 `webpack-obfuscator` 進行程式碼加密混淆
2021-02-25
VueWeb行程加密
Python程式碼混淆工具，Python原始碼保密、加密、混淆
2024-02-05
Python原始碼加密
程式碼混淆工具ipaguard：如何使用ipaguard保護和混淆iOS應用程式程式碼
2023-09-20
iOS
程式碼混淆與反混淆學習-第二彈
2023-04-09
powershell程式碼混淆繞過
2020-06-21
前端程式碼安全與混淆
2023-04-12
前端
iOS 初探程式碼混淆（OC）
2018-05-24
iOS
程式碼混淆的規則
2015-12-22
聊聊如何進行程式碼混淆
2022-01-26
行程
iOS應用加固--程式碼混淆
2018-08-07
iOS
Android 程式碼混淆規則
2018-07-17
Android
教你5步搞定程式碼混淆
2017-04-20
Android Studio 程式碼混淆
2017-06-19
Android
Android 專案程式碼混淆
2014-09-24
Android
Python 程式碼混淆工具概述
2024-04-01
Python
程式碼安全之程式碼混淆及加固（Android）?
2023-11-15
Android
SpringBoot程式碼混淆與反混淆加密工具詳解
2023-12-20
Spring Boot加密
android 混淆規則作用,Android程式碼混淆詳解
2024-02-27
Android
鴻蒙 OS 程式碼正式開源！！
2020-09-11
鴻蒙
Vue 應用程式效能最佳化：程式碼壓縮、加密和混淆配置詳解
2023-12-06
Vue加密
逆向破解js程式碼加密，程式碼混淆不是難事
2019-05-12
JS加密
Python 的控制流程式碼混淆
2020-04-13
Python
Spring Boot使用Allatori程式碼混淆
2019-03-03
Spring Boot
使用proguard混淆springboot程式碼
2019-03-04
Spring Boot
Java程式碼混淆工具入門——Allatori～
2021-08-19
Java
使用模擬器混淆前端程式碼
2016-09-19
前端
MSWord-用欄位程式碼混淆
2017-11-10
對.net 程式進行原始碼混淆
2016-07-07
原始碼
Android程式碼混淆的實踐
2012-07-16
Android
ProGuard程式碼混淆技術詳解
2016-05-27